#1 29. Juni 2008 Hallo, Habe heute auf den PC meinen Eltern einen komischen "Virus" gefunden. Habe keine ahnung wie ich den entfehren kann. Hier ein Bild was er alles geändert hat: {bild-down: http://www.bildhoster.org/out.php/i5259_virus01.bmp} {bild-down: http://www.bildhoster.org/out.php/i5260_virus02.bmp} weiss jmd ein schlaues Programm wie ich das ändern / beheben kann? Formatieren wäre nicht so der Hammer =P Hoffe ihr wisst da einige SCHLAUE ratschläge MFG ::TrOY + Multi-Zitat Zitieren
#2 29. Juni 2008 AW: Komischer Virus lass mal hijackthis durchlaufen und poste ma den log :] + Multi-Zitat Zitieren
#3 29. Juni 2008 AW: Komischer Virus programm wird nix helfen, startmal im abgesichterten modus und mach eine systemwiederherstellung. mit dazu solltest du die starteinträge im abgesicherten modus überprüfen vieleicht hat sich da noch eine exe eingeschlichen. + Multi-Zitat Zitieren
#4 29. Juni 2008 AW: Komischer Virus hab ich schon versucht, bringt nichts werde ich gerade versuchen + Multi-Zitat Zitieren
#5 29. Juni 2008 AW: Komischer Virus wie du meinst... dann lass ma spybot search&destroy durchlaufen... + Multi-Zitat Zitieren
#6 30. Juni 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Komischer Virus Moved to Hacking & Scurity bitte poste mal Dein HiJackThis-Logfile um mehr Infos zu bekommen. Eine ausführliche Anleitung dazu findest du hier: Wie verwende Ich HiJackThis richtig. - RR:Board Gruß BenQ + Multi-Zitat Zitieren
#7 30. Juni 2008 AW: Komischer Virus Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:11: VIRUS ALERT!, on 30.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [6c316303] rundll32.exe "C:\WINDOWS\system32\sobejjnn.dll",b O4 - HKLM\..\RunOnce: [SpybotDeletingA8236] command /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\SpywareLocked 3.2 Website.lnk" O4 - HKLM\..\RunOnce: [SpybotDeletingA6242] command /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\Uninstall SpywareLocked 3.2.lnk" O4 - HKLM\..\RunOnce: [SpybotDeletingC8953] cmd /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\Uninstall SpywareLocked 3.2.lnk" O4 - HKLM\..\RunOnce: [SpybotDeletingA9959] command /c del "C:\Programme\BearShare\Logs\hosts-state.txt" O4 - HKLM\..\RunOnce: [SpybotDeletingC2218] cmd /c del "C:\Programme\BearShare\Logs\hosts-state.txt" O4 - HKLM\..\RunOnce: [SpybotDeletingA5845] command /c del "C:\Programme\BearShare\Logs\memory.txt" O4 - HKLM\..\RunOnce: [SpybotDeletingC9922] cmd /c del "C:\Programme\BearShare\Logs\memory.txt" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB5632] command /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\SpywareLocked 3.2 Website.lnk" O4 - HKCU\..\RunOnce: [SpybotDeletingD8280] cmd /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\SpywareLocked 3.2 Website.lnk" O4 - HKCU\..\RunOnce: [SpybotDeletingB6850] command /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\SpywareLocked 3.2.lnk" O4 - HKCU\..\RunOnce: [SpybotDeletingD6698] cmd /c del "C:\Dokumente und Einstellungen\Joel Wittwer\Startmenü\Programme\SpywareLocked\SpywareLocked 3.2.lnk" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://joelwittwer1991.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138447711265 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O21 - SSODL: qegbdmwf - {8235CD20-0E62-48E3-87A6-87F633E7F4F1} - C:\WINDOWS\qegbdmwf.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -- End of file - 8825 bytes Auf HijackThis Logfileauswertung wurde nichts als "X" angezeigt... :baby: + Multi-Zitat Zitieren
#8 30. Juni 2008 AW: Komischer Virus Wenn ich das mit deinem Log mache schon.... Code: O4 - HKLM\..\Run: [6c316303] rundll32.exe "C:\WINDOWS\system32\sobejjnn.dll",b Schädlich (1.63 / 5.00) Fixxen und mal schaun. Das hier lesen kann auch nicht schaden : Weitere Schritte Remove Anleitung Mfg, Inqui. + Multi-Zitat Zitieren